📡 AWS CDK 101⛄️ - API 게이트웨이 구조 사용, 제한, 할당량, 사용 계획, API 키

🔰 AWS CDK를 처음 접한 초보자는 이 시리즈에서 제 이전 글을 하나하나 읽어주세요.
이전 글을 놓치면 아래 링크를 통해 찾아보세요.
🔁 원래🔗 Dev Post
🔁 이전 게시물 전달🔗
본문에서, 위에서 열거한 이전 글에서 만든 기본 lambda 함수 앞에서 API 인터페이스를 소개합니다.

솔루션에 API 게이트웨이를 사용하는 이유❓
lambda는aws환경에서만 접근할 수 있기 때문에 이러한 API 인터페이스 설정이 필요합니다. 이것은 공공 HTTP 노드를 공개하는 데 도움이 될 것입니다. 인터넷상의 모든 사람이 HTTP 클라이언트를 통해 이 노드에 접근할 수 있습니다.
또한 인증 검사가 실패할 경우 API 게이트웨이는 백엔드 Lambda 함수를 호출하지 않고도 잘못된 요청을 차단할 수 있습니다.API 게이트웨이는 이런 방식으로 비싼 람바다 호출 비용을 절감하고 필요에 따라 람바다 함수에서 요청 검증을 마운트 해제할 수 있다.
편집lib/common-event-stact.ts부터 시작하겠습니다.모듈을 aws-cdk-lib/aws-apigateway에서 agigw로 가져옵니다.

 // this defines an new API Gateway REST API resource backed by our "eventEntry" function.
    const eventGateway = new apigw.LambdaRestApi(this, 'EventEndpoint', {
      handler: eventEntry
    });

cdk diff를 실행할 때 새 자원에 유사한 로그와 관련된 IAM 정책 변경을 기대할 수 있습니다.

IAM Statement Changes
┌───┬─────────────────────────────────────────────────────┬────────┬───────────────────────┬─────────────────────────────────────────────────────┬─────────────────────────────────────────────────────┐
│   │ Resource                                            │ Effect │ Action                │ Principal                                           │ Condition                                           │
├───┼─────────────────────────────────────────────────────┼────────┼───────────────────────┼─────────────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ + │ ${EventEndpoint/CloudWatchRole.Arn}                 │ Allow  │ sts:AssumeRole        │ Service:apigateway.amazonaws.com                    │                                                     │
├───┼─────────────────────────────────────────────────────┼────────┼───────────────────────┼─────────────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ + │ ${EventEntryHandler.Arn}                            │ Allow  │ lambda:InvokeFunction │ Service:apigateway.amazonaws.com                    │ "ArnLike": {                                        │
│   │                                                     │        │                       │                                                     │   "AWS:SourceArn": "arn:${AWS::Partition}:execute-a │
│   │                                                     │        │                       │                                                     │ pi:${AWS::Region}:${AWS::AccountId}:${EventEndpoint │
│   │                                                     │        │                       │                                                     │ 82CBF40A}/${EventEndpoint/DeploymentStage.prod}/*/* │
│   │                                                     │        │                       │                                                     │ "                                                   │
│   │                                                     │        │                       │                                                     │ }                                                   │
│ + │ ${EventEntryHandler.Arn}                            │ Allow  │ lambda:InvokeFunction │ Service:apigateway.amazonaws.com                    │ "ArnLike": {                                        │
│   │                                                     │        │                       │                                                     │   "AWS:SourceArn": "arn:${AWS::Partition}:execute-a │
│   │                                                     │        │                       │                                                     │ pi:${AWS::Region}:${AWS::AccountId}:${EventEndpoint │
│   │                                                     │        │                       │                                                     │ 82CBF40A}/test-invoke-stage/*/*"                    │
│   │                                                     │        │                       │                                                     │ }                                                   │
│ + │ ${EventEntryHandler.Arn}                            │ Allow  │ lambda:InvokeFunction │ Service:apigateway.amazonaws.com                    │ "ArnLike": {                                        │
│   │                                                     │        │                       │                                                     │   "AWS:SourceArn": "arn:${AWS::Partition}:execute-a │
│   │                                                     │        │                       │                                                     │ pi:${AWS::Region}:${AWS::AccountId}:${EventEndpoint │
│   │                                                     │        │                       │                                                     │ 82CBF40A}/${EventEndpoint/DeploymentStage.prod}/*/" │
│   │                                                     │        │                       │                                                     │ }                                                   │
│ + │ ${EventEntryHandler.Arn}                            │ Allow  │ lambda:InvokeFunction │ Service:apigateway.amazonaws.com                    │ "ArnLike": {                                        │
│   │                                                     │        │                       │                                                     │   "AWS:SourceArn": "arn:${AWS::Partition}:execute-a │
│   │                                                     │        │                       │                                                     │ pi:${AWS::Region}:${AWS::AccountId}:${EventEndpoint │
│   │                                                     │        │                       │                                                     │ 82CBF40A}/test-invoke-stage/*/"                     │
│   │                                                     │        │                       │                                                     │ }                                                   │
└───┴─────────────────────────────────────────────────────┴────────┴───────────────────────┴─────────────────────────────────────────────────────┴─────────────────────────────────────────────────────┘
IAM Policy Changes
┌───┬─────────────────────────────────┬─────────────────────────────────────────────────────────────────────────────────────────┐
│   │ Resource                        │ Managed Policy ARN                                                                      │
├───┼─────────────────────────────────┼─────────────────────────────────────────────────────────────────────────────────────────┤
│ + │ ${EventEndpoint/CloudWatchRole} │ arn:${AWS::Partition}:iam::aws:policy/service-role/AmazonAPIGatewayPushToCloudWatchLogs │
└───┴─────────────────────────────────┴─────────────────────────────────────────────────────────────────────────────────────────┘
(NOTE: There may be security-related changes not in this list. See https://github.com/aws/aws-cdk/issues/1299)

Resources
[+] AWS::ApiGateway::RestApi EventEndpoint EventEndpoint82CBF40A 
[+] AWS::IAM::Role EventEndpoint/CloudWatchRole EventEndpointCloudWatchRole4E252113 
[+] AWS::ApiGateway::Account EventEndpoint/Account EventEndpointAccount1A8CF478 
[+] AWS::ApiGateway::Deployment EventEndpoint/Deployment EventEndpointDeployment9E6BA6B96f1395a2ccbaf49542e68813f77a19e7 
[+] AWS::ApiGateway::Stage EventEndpoint/DeploymentStage.prod EventEndpointDeploymentStageprod2ED092D9 
[+] AWS::ApiGateway::Resource EventEndpoint/Default/{proxy+} EventEndpointproxyCBF9AFD2 
[+] AWS::Lambda::Permission EventEndpoint/Default/{proxy+}/ANY/ApiPermission.CommonEventStackEventEndpointB06FCC50.ANY..{proxy+} EventEndpointproxyANYApiPermissionCommonEventStackEventEndpointB06FCC50ANYproxy3F9D95E2 
[+] AWS::Lambda::Permission EventEndpoint/Default/{proxy+}/ANY/ApiPermission.Test.CommonEventStackEventEndpointB06FCC50.ANY..{proxy+} EventEndpointproxyANYApiPermissionTestCommonEventStackEventEndpointB06FCC50ANYproxy75C60637 
[+] AWS::ApiGateway::Method EventEndpoint/Default/{proxy+}/ANY EventEndpointproxyANY74421EDC 
[+] AWS::Lambda::Permission EventEndpoint/Default/ANY/ApiPermission.CommonEventStackEventEndpointB06FCC50.ANY.. EventEndpointANYApiPermissionCommonEventStackEventEndpointB06FCC50ANY7F8C8232 
[+] AWS::Lambda::Permission EventEndpoint/Default/ANY/ApiPermission.Test.CommonEventStackEventEndpointB06FCC50.ANY.. EventEndpointANYApiPermissionTestCommonEventStackEventEndpointB06FCC50ANYC6DC815A 
[+] AWS::ApiGateway::Method EventEndpoint/Default/ANY EventEndpointANY8620E9D3 

상술한 성과를 총결하다.💥
이상의 내용을 총괄하기 위해 백엔드에서 무슨 일이 일어났는지 다음과 같이 알아보고 발표할 것입니다.

새로운 IAM 정책 CloudWatchRole을 만들고 이 정책이 로그를apigateway에서cloudwatch로 전송한다고 가정합니다.

배치 단계prod는 이미 설치되어 있으며, 우리는 제품 단계에 영향을 주지 않고 여러 단계에서 과도한 특성 테스트를 진행할 수 있다.

자원 권한은 임의Resource 경로에 필요한 권한을 설정합니다. 기본적으로 이restapi의 정상 노드와 테스트 노드는 탐욕 자원 경로{proxy+}를 설정합니다.

자원 권한은 이restapi의 정상적인 노드와 테스트 변수 노드를 가진anymethod에 필요한 권한으로 설정됩니다.

상술한 개념에 대한 깊은 이해는 우리가rest의 유사한 단점을 바탕으로 하는 Api망을 앞으로 더욱 제한하는 데 도움이 될 것이다.
지금 이 배치를 집행하고 결과를 검사합시다.
그 전에, 적절한 정보를 표시하기 위해 lambda에서 다시 한 번 변경을 하겠습니다.

exports.receiver = async function(event:any) {
  console.log("request:", JSON.stringify(event, undefined, 2));
  return {
    statusCode: 200,
    headers: { "Content-Type": "text/plain" },
    body: `Message Received in lambda: ${JSON.stringify(event.body)}\n`
  };
};

cdk deploy CommonEventStack

 ✅  CommonEventStack

✨  Deployment time: 57.21s

Outputs:
CommonEventStack.EventEndpointA893C53E = https://lwo***********uvhg.execute-api.ap-south-1.amazonaws.com/prod/
Stack ARN:
arn:aws:cloudformation:ap-south-1:575066707855:stack/CommonEventStack/93688c10-a10a-11ec-b942-0ad3136ae540

✨  Total time: 68.43s

🏃 권곡시험
우리가 이 정지 단점을 검사하기 위해 권곡을 만들 때, 우리가 무엇을 얻었는지 봅시다.curl https://xxxxxxxxxx.execute-api.us-east-1.amazonaws.com/prod/

Message Received: null

여기서, 우리는 성공적으로 lambda에 메시지를 보냈고, 출력을 얻었다.비록 우리는 null이 있지만, 왜냐하면 우리는 최초의 GET 요청에서 어떤 시체도 보내지 않았기 때문이다.
현재post 요청에서 요청 주체를 통해 클라이언트로부터 메시지를 보냅니다.curl -H "Content-Type: application/json" -d '{ "message": "client message"}' -X POST https://********.execute-api.ap-south-1.amazonaws.com/prod/

Message Received in lambda: "{ \"message\": \"client message\"}"

우리는 이미agi 스위치를 성공적으로 설정했기 때문에 컨트롤러에서 그것을 검사하고aws 컨트롤러에서 그것을 테스트할 수 있습니다.

AWS 콘솔의 API 게이트웨이⚡


단점 경로와 허용 방법 검사⚡


메시지 테스트를 사용하여 POST 요청 호출⚡


위에서 생성한 Api 게이트웨이 최적화⚡
POST 방법과 특정한 자원 경로에만 사용할 수 있도록api 인터페이스를 최적화합니다.

CDK API 참조 문서🐼
그 전에 cdkapi 참고 문서를 사용해야 합니다.따라서 우리는 이러한 참고 문서를 연구하여 모든 cdk 창고 자원 구조에 필요한 매개 변수와 옵션을 선택할 수 있다.
만약 우리가 이미 가져온 것을 기억한다면 aws-cdk-lib/aws-apigateway 우리는 https://docs.aws.amazon.com/cdk/api/v2의 구조 라이브러리를 배워야 한다
구체적으로 말하면, 우리는 반드시 내비게이션을 해야 한다https://docs.aws.amazon.com/cdk/api/v2/docs/aws-cdk-lib.aws_apigateway-readme.html.여기서 우리는 apigateway 구조에 필요한 문서와 그 속성과 방법을 어떻게 사용하는지, 그리고 적당한 예시를 제공할 수 있다.

올바른 자원 경로 및 방법 지정🔦
우선, 이 탐욕스러운 에이전트 자원 경로 정의를 삭제합시다.

const eventGateway = new apigw.LambdaRestApi(this, 'EventEndpoint', {
      handler: eventEntry,
      proxy: false
    });

여기에서 프록시 속성은 기본적으로 탐욕스러운 자원 경로 정의를 삭제합니다.
다음 예시와 같이 사용할 수 있는 자원 경로를 설명합니다.

 const eventHandler: apigw.LambdaIntegration = new apigw.LambdaIntegration(eventEntry);
    const event = eventGateway.root.addResource('event');

    const eventMethod: apigw.Method = event.addMethod('POST', eventHandler, {  
       apiKeyRequired: false
    });

현재 우리는 특정한 자원 경로와 방법을 성공적으로 공개하고 허용할 뿐이다.


금지된 방법으로 기본 자원 경로에 접근할 때🔦

특정api에 성공적으로 접근할 수 있지만 full path 허용된 방법과 차이점에 주의하십시오.


계획 및 API 키 사용🔔

A usage plan specifies who can access one or more deployed API stages and methods, and the rate at which they can be accessed.

이 프로그램은 API 키를 사용하여 API 클라이언트를 식별하고 해당 API 단계에 대한 각 키의 액세스를 적절하게 측정합니다.또한 스케줄을 사용하면 개별 클라이언트 API 키에 대해 강제로 수행되는 스로틀 제한 및 할당량 제한도 구성할 수 있습니다.
다음 예제에서는 사용 계획 및 API 키를 작성하고 연관시키는 방법을 보여 줍니다.

const eventMethod: apigw.Method = event.addMethod('POST', eventHandler, {  
       apiKeyRequired: true,
    });

In order to use a api key it is required to setup an usage plan, something similar to the below example and then we can associate that to the key we just created.

const plan = eventGateway.addUsagePlan('UsagePlan', {
        name: 'Workshop',
        description: 'For Workshop',
        throttle: {
          burstLimit: 5,
          rateLimit: 10,
        },
        quota: {
          limit: 100,
          period: apigw.Period.DAY
        }
    });

    const normalUserKey = eventGateway.addApiKey('ApiKey',{
        apiKeyName: 'av-api-key',
        value: 'av-api-key-value-********',
    });
    plan.addApiKey(normalUserKey);

배포 단계별 미세 조정 사용 계획🌻
특정 방법의 서로 다른 배치 단계에서 상술한 사용 계획을 미세하게 조정한다. 또한 방법 단계의 절약 제한을 포함하여api 소모 제한을 더욱 잘 통제하고 계약에 따라 여러 고객의 자원 이용률을 높일 수 있다.

 plan.addApiStage({
      stage: eventGateway.deploymentStage,
      throttle: [
        {
          method: eventMethod,
          throttle: {
            rateLimit: 3,
            burstLimit: 2
          }
        }
      ]
    });

속도와 돌발 제한을 사용하여api를 제한합니다🐇
게이트웨이가 입구 자체의 추가 요청을 거부하기 전에, 당신은 속도 제한을 통해 초당 호출 횟수의 속도를 효과적으로 제어할 수 있습니다.

API가 동시에 처리할 수 있는 요청 수를 정의합니다.

속도 제한은 초당 허용되는 요청 수를 정의합니다.

 throttle: {
            rateLimit: 3,
            burstLimit: 2
          }

할당량 제한🐡
할당액 제한은api인터페이스가 인터페이스 제한을 초과하기 전에 받은 클라이언트 요청의 누적 수량을 정의하는 데 도움이 된다.
보통aws는 각 지역의 모든 서비스에 일정한 고정 할당액을 제공하는데 이것은 수요에 따라 모든 사용 계획의 일부분을 보존함으로써 효과적으로 관리할 수 있다.외부 사용자api의 사용을 제한하기 위해 외부 사용자의 서비스 층에 따라 검사할 수 있습니다.

 quota: {
      limit: 5,
      period: apigw.Period.DAY
      }

api 키 사용자에게 할당된 할당량을 초과하면 오류 응답을 보냅니다.



속도 제한 API 키🐠
단일api 키를 만들고 속도 제한을 설정해야 하는 경우 RateLimitedApiKey 사용할 수 있습니다.이 구조는 속도 제한 속성을 지정할 수 있습니다. 이 속성들은 만들고 있는api 키에만 적용됩니다.생성된 API 키에는 할당량 및 제한 등 지정된 속도 제한이 적용됩니다.

const rateLimitedKey = new apigw.RateLimitedApiKey(this, 'rate-limited-api-key', {
       apiKeyName: 'av-rate-limited-api-key',
        value: 'av-api-key-value-dreatenbwebrwiukjwnrn',
    customerId: 'external-client',
    resources: [eventGateway],
    quota: {
      limit: 5,
      period: apigw.Period.DAY
      },
      throttle: {
        rateLimit: 2,
        burstLimit: 1
      }
    });
    plan.addApiKey(rateLimitedKey);

새로 만든api 키를 위한 새로운 계획을 찾을 수 있도록api 컨트롤러에서 검사할 수 있습니다.다른 사용 계획에 속하지 않는 개별 사용자를 더욱 세밀하게 제어할 수 있습니다.



기존 키 및 사용 계획 가져오기🐝
이외에, 우리는 아래의 예시를 통해 기존 키와 사용 계획을 우리의 창고 자원에 가져올 수 있습니다.

usage plans can be imported into a CDK app using its id.

const importedUsagePlan = apigateway.UsagePlan.fromUsagePlanId(this, 'imported-usage-plan', '<usage-plan-key-id>');

API keys can also be imported into a CDK app using its id.

const importedKey = apigateway.ApiKey.fromApiKeyId(this, 'imported-key', '<api-key-id>');

이api 인터페이스와 lambda에 더 많은 연결을 추가하고 다음 글에서 사용할 수 있도록 합니다.
⏭ 우리의 다음 글은 서버less에 발표될 것이니, 반드시 보십시오
🎉 지지해 주셔서 감사합니다!🙏
만약 네가 ☕ Buy Me a Coffee나를 돕기를 원한다면, 정말 좋겠다.
🔁 원래🔗 Dev Post
🔁 전재하다🔗